Olması amaçlanan bir JavaScript kitaplığı ile ilgili bir kütüphane Twilio, programcıların bilgisayarlarına arka kapıların kurulmasına izin verdi Saldırganların virüs bulaşmış iş istasyonlarına erişmesine izin vermek için, geçen Cuma npm açık kaynak kayıt defterine yüklendi.
Neyse ki, kötü amaçlı yazılım algılama hizmeti Sonatype Release Integrity, kötü amaçlı yazılımı hızla tespit etti, üç versiyonda ve Pazartesi günü kaldırıldı.
Npm güvenlik ekibi Pazartesi günü bir JavaScript kitaplığını kaldırdı programcıların bilgisayarlarında arka kapıları açabilecek kötü amaçlı kod içerdiği için npm web sitesinde "twilio-npm" olarak adlandırılmıştır.
Kötü amaçlı kod içeren paketler, açık kaynak JavaScript kodu kayıt defterinde yinelenen bir konu haline geldi.
JavaScript kitaplığı (ve kötü niyetli davranışı) bu hafta sonu DevSecOps için güvenlik işlemleri hizmetlerinin bir parçası olarak genel paket depolarını izleyen Sonatype tarafından keşfedildi.
Pazartesi günü yayınlanan bir raporda Sonatype, kütüphanenin ilk olarak Cuma günü npm web sitesinde yayınlandığını, aynı gün bulunduğunu ve npm güvenlik ekibinin paketi bir pakete koymasının ardından Pazartesi günü kaldırıldığını söyledi. kara liste.
Npm kayıt defterinde resmi Twilio hizmeti ile ilgili veya onu temsil eden birçok yasal paket vardır.
Ancak Sonatype'ın güvenlik mühendisi Ax Sharma'ya göre twilio-npm'nin Twilio şirketiyle hiçbir ilgisi yok. Twilio bu işe karışmaz ve bu marka hırsızlığı teşebbüsüyle hiçbir ilgisi yoktur. Twilio, geliştiricilerin programlı olarak telefon görüşmeleri ve metin mesajları yapıp alabilen VoIP tabanlı uygulamalar oluşturmasına olanak tanıyan bir hizmet olarak önde gelen bulut tabanlı bir iletişim platformudur.
Resmi paketi Twilio npm, haftada neredeyse yarım milyon indirme yapıyor, mühendise göre. Büyük popülaritesi, tehdit aktörlerinin neden aynı adı taşıyan sahte bir bileşenle geliştiricileri yakalamakla ilgilenebileceğini açıklıyor.
Ancak, Twilio-npm paketi birçok insanı kandıracak kadar uzun süre dayanamadı. 30 Ekim Cuma günü yüklenen Sontatype'ın Release Integrity hizmeti, görünüşe göre kodu bir gün sonra şüpheli olarak işaretledi - yapay zeka ve makine öğreniminin açıkça kullanımları var. 2 Kasım Pazartesi günü, şirket bulgularını yayınladı ve kod geri çekildi.
Sharma'ya göre npm portalının kısa ömrüne rağmen, kitaplık 370'den fazla kez indirildi ve npm komut satırı yardımcı programı (Node Package Manager) aracılığıyla oluşturulan ve yönetilen JavaScript projelerine otomatik olarak dahil edildi. . Ve bu ilk isteklerin çoğu büyük olasılıkla npm kayıt defterindeki değişiklikleri izlemeyi amaçlayan tarama motorlarından ve proxy'lerden geliyor.
Sahte paket, tek dosyalı kötü amaçlı yazılımdır ve 3 sürümü mevcuttur indirmek için (1.0.0, 1.0.1 ve 1.0.2). Her üç sürüm de aynı gün, yani 30 Ekim'de piyasaya sürülmüş görünüyor. Sharma'ya göre 1.0.0 sürümü pek başarılı değil. Yalnızca, ngrok alt etki alanında bulunan bir kaynağı çıkaran küçük bir bildirim dosyası, package.json içerir.
ngrok, geliştiricilerin uygulamalarını test ederken, özellikle NAT veya bir güvenlik duvarının arkasındaki "localhost" sunucu uygulamalarına bağlantılar açmak için kullandıkları yasal bir hizmettir. Bununla birlikte, 1.0.1 ve 1.0.2 sürümlerinden itibaren, Sharma'ya göre, aynı bildirimin, kötü niyetli bir görevi yerine getirmek için değiştirilmiş yükleme sonrası komut dosyası var.
Bu, kullanıcının makinesinde etkili bir şekilde bir arka kapı açar ve saldırgana güvenliği ihlal edilen makinenin denetimini ve uzaktan kod yürütme (RCE) yeteneklerini verir. Sharma, ters kabuğun yalnızca UNIX tabanlı işletim sistemlerinde çalıştığını söyledi.
Geliştiriciler kimlikleri, sırları ve anahtarları değiştirmelidir
Npm danışma belgesi, kötü amaçlı paketi kaldırılmadan önce yüklemiş olabilecek geliştiricilerin risk altında olduğunu söylüyor.
Npm güvenlik ekibi Pazartesi günü yaptığı açıklamada, Sonatype'ın araştırmasını doğrulayarak, "Bu paketin yüklü olduğu veya çalıştığı herhangi bir bilgisayarın tamamen tehlikeye atıldığı kabul edilmelidir."